Уязвимость в umi cms

Ушлые копатели накопали дырочку в юми. Дыра позволяет добавлять любые файлы на серваке, и код пхп-шный из url'а выполнять...

Попробовал создать через уязвимость файл virus.txt в папке /files. Без проблем получилось...


Закрыть именно эту дырочку в принципе достаточно легко, нужно просто добавить .htaccess с Deny from all в папку /styles/common/other/elfinder/php/ .

Юмовцы же придумали достаточно хитрый ход. На сайты, у которых открыта данная уязвимость, через эту же уязвимость похоже её и закрыли, добавив в корневой .htaccess строки:

RewriteRule data\/getEditForm [R=403]

RewriteRule data\/saveEditedObject [R=403]


 Кстати, umi soft выпустило патч. который ставят по запросу через ftp-доступ и похоже войдёт в 2.9.2. http://www.umi-cms.ru/company/news/vnimanie_vyshel_patch/

Назад к списку
RuWeb.net - гибкий хостинг